Adobe-säkerhetsbulletin

Säkerhetsuppdateringar för Adobe Experience Manager | APSB21-82

Bulletin-ID

Publiceringsdatum

Prioritet

APSB21-82

den 14 september 2021 

2

Sammanfattning

Adobe har släppt uppdateringar för Adobe Experience Manager (AEM). Uppdateringarna åtgärdar sårbarheter som har klassats som kritiska och viktiga. Ett framgångsrikt utnyttjande av dessa sårbarheter kan leda till att godtycklig kod exekveras.

Berörda produktversioner

Produkt Version Plattform

 

Adobe Experience Manager (AEM)

AEM Cloud Service (CS)
Alla
6.5.9.0 och tidigare versioner 
Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt

Version

Plattform

Prioritet

Tillgänglighet

 

Adobe Experience Manager  (AEM) 

AEM Cloud Service (CS)
Alla 2 Versionsinformation

6.5.10.0 

Alla

2

AEM 6.5 Service Pack versionsinformation 
Obs!

Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.  

Obs!

Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.4, 6.3 och 6.2.

Sårbarhetsinformation

Sårbarhetskategori

Sårbarhetens inverkan

Allvarlighet

CVSS-baspoäng 

CVE-nummer 

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktigt

6.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N

CVE-2021-40711

Felaktig validering av indata (CWE-20)

Denial-of-service för program

Viktig

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVE-2021-40712

Felaktig validering av certifikat (CWE-295)

Åsidosättning av säkerhetsfunktion

Viktig

5.9

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2021-40713

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

6.4

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVE-2021-40714

Felaktig åtkomstkontroll (CWE-284)

Åsidosättning av säkerhetsfunktion

Viktig

5.3

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N


CVE-2021-42725

Uppdateringar av beroenden

Beroende
Sårbarhetens inverkan
Berörda versioner
Iodash
Exekvering av godtycklig kod

AEM CS  

AEM 6.5.9.0 och tidigare

Apache Sling Path traversal

AEM CS  

AEM 6.5.9.0 och tidigare

Jetty
Överbelastning

AEM CS  

AEM 6.5.9.0 och tidigare

Jackson-Databind
Okontrollerad allokering av byte-buffert

AEM CS   

AEM 6.5.9.0 och tidigare

Tack

Adobe tackar Lorenzo Pirondini (vid Netcentric, A Cognizant Digital Business) (CVE-2021-40711, CVE-2021-40712) och Eckbert Andresen (CVE-2021-42725) för att har rapporterat de här problemen och för samarbetet med Adobe i säkerhetsfrågor.

Revisioner

27 september 2021: Uppgifterna om erkännande av CVE-2021-40711 och CVE-2021-40712 har uppdaterats.

4 oktober 2021: CVE-2021-40711 har uppdaterats för CVSS-basresultat, vektor och allvarlighetsgrad.

28 oktober 2021: Information om CVE-2021-42725 har lagts till.


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?